Wolfgang Ziebarth

Martin Zilkens, Datenschutz in der Kommunalverwaltung


Martin Zilkens, Datenschutz in der Kommunalverwaltung. Recht - Technik - Organisation, Berlin (Erich Schmidt Verlag) 4. Aufl. 2014, ISBN 978-3-503-15664-1, € 84,-

ZD-Aktuell 2015, 04128     Das Werk „Datenschutz in der Kommunalverwaltung“ von Dr. Martin Zilkens erscheint nunmehr in der 4. Auflage. Die Vorauflagen sind bereits häufig und prominent rezensiert worden (z.B. Albrecht, Kuselit ZID 6/2011, 22.2 f. m.w.Nw. in Fußn. 1; Petri, http://www.dud.de/Buecher/41/5/ (Stand beider URL: 5.8.2014); Taeger, K&R 2012, VI-VII; Weichert, DANA 2011, 90 f.). Zur aktuellen Auflage vgl. Härting, http://www.cr-online.de/blog/2014/07/30.

In formaler Hinsicht gliedert sich das über 680 Seiten starke Buch in fünfzehn Kapitel. Dank eines übersichtlichen Layouts und einer verständlichen Sprache liest es sich erfreulich leicht. Dem Hinweis Petris (a.a.O.) auf die uneinheitliche Vergabe von Randnummern ist zuzustimmen: manche Randnummer erstreckt sich über mehrere Seiten (vgl. nur Rdnr. 464 im Gegensatz zu Rdnr. 460). Möglicherweise deshalb verweisen Inhalts- und Stichwortverzeichnis auf die Seitenzahlen.

Ausweislich seines Klappentexts versteht sich das Werk als Handbuch für die kommunale Praxis. Dieses Konzept führt zu zwei Herausforderungen: der Heterogenität der Leserschaft und der Breite des Themenspektrums. Beide Aspekte lassen es unmöglich erscheinen, jedes dargestellte Problem in einer wissenschaftlichen Tiefe zu erörtern, die für eine Dissertation unvermeidlich, für ein Praxishandbuch aber überflüssig und verwirrend wäre. Zu Recht konzentriert sich der Autor daher meist auf die Darstellung des geltenden Rechts. Der Praxis hilft es schließlich nicht, sich an eine wissenschaftlich (noch) vertretbare Meinung zu halten, die von Rspr. oder Aufsicht aber nicht geteilt wird.

Die ersten beiden Kapitel widmen sich der „informationelle(n) Selbstbestimmung“ und den „Rechtsgrundlagen des Datenschutzes“. Mit der Einleitung schreibt der Autor dem Rezensenten aus der Seele. Die europarechtlichen Ausführungen skizzieren das europäische Primärrecht. Mögliche Rechtsakte der EU werden angedeutet. Die EU-Datenschutzrichtlinie (DS-RL – RL 95/46/EG), die auch für die Kommunen relevant ist (weil die nationalen Gesetze richtlinienkonform auszulegen sind), wird nicht erwähnt. Zu Recht kritisiert der Autor den Entwurf einer Datenschutz-Grundverordnung (DS-GVO), soweit dieser im öffentlichen Bereich zu einer Abschaffung des bereichsspezifischen Datenschutzes führen wird (Rdnr. 25).

Kapitel 3 bis 7 beschäftigen sich mit den Begriffsdefinitionen und den übrigen Aspekten des allgemeinen Datenschutzrechts. Die Ausführungen zum Statistikgeheimnis (Rdnr. 84 dd)) wären daher eher im folgenden Kapitel 8 zu erwarten gewesen. Es böte sich an, sie in Kapitel 8 um eine knappe Darstellung des Statistikrechts zu ergänzen. Dazu könnte der absolute Anonymisierungsbegriff (vgl. § 16 Abs. 1 Satz 2 Nr. 4 im Gegensatz zur nur faktischen Anonymisierung nach Abs. 6 BStatG und § 3 Abs. 6 BDSG) gehören.

Während Kapitel 7 („Zulässigkeit der Datenverarbeitung“) nur sieben Seiten umfasst, erstreckt sich Kapitel 8 („Bereichsspezifischer Datenschutz“) auf über 190 Seiten, denen weitere 80 Seiten zum Beschäftigtendatenschutz folgen. Dabei ist der Bereich der Datenverarbeitung der Polizei- bzw. Ordnungsbehörden (der auch Kommunen betreffen kann) noch gar nicht berücksichtigt. Dies zeigt eindrücklich die Zersplitterung des kommunalrelevanten Datenschutzrechts und bekräftigt die o.g. Kritik an einer Abschaffung dieser Vorschriften zu Gunsten einer DS-GVO. Härting (a.a.O.) möchte dieses Kapitel den „Brüsseler Reformakteuren (…) als Pflichtlektüre verordnen. Denn der Streifzug durch datenschutzrechtliche Spezialnormen führt dem Leser eindruckvoll (sic) vor Augen, was auf dem Spiel steht, wenn eine Brüsseler Verordnung all diese Regelung (sic) Makulatur werden lässt“.

Kapitel 9 beschäftigt sich nicht nur mit dem Beschäftigtendatenschutz. Allgemeine Ausführungen zum Antidiskriminierungs- und Kündigungsrecht, wie man sie in einer arbeits- bzw. dienstrechtlichen Darstellung vermuten würde, bieten einen Nutzen weit über das Datenschutzrecht hinaus. So erhält der Leser hilfreiche Tipps zur Gestaltung von Bewerbungsverfahren, zur „Ermittlung“ in sog. sozialen Netzwerken und möglichen Konsequenzen von Veröffentlichungen des Beschäftigten (Beleidigung des Arbeitgebers, Urlaubsfotos aus Krankheitstagen u.Ä.).

Kapitel 10 fasst die Themen „Kommune im Internet“, „Auftragsdatenverarbeitung“, „Videoüberwachung“ und „Befragungen“ zu „kommunalen Belangen“ zusammen. Diese Auswahl erscheint willkürlich, zumal der originär kommunale Belang „Ratsarbeit“ in Kapitel 8 behandelt wird. Auch hier geht die Darstellung weit über den Datenschutz hinaus, wenn etwa auf Impressumspflichten hingewiesen wird (Rdnr. 584 ff.).

Die Darstellung des Themenkomplexes „Videoüberwachung“ (Rdnr. 633 ff.) betrifft einerseits mehr als den kommunalen Bereich, kann die Probleme andererseits nur skizzieren. Wenn z.B. festgestellt wird, dass eine Kamera-Attrappe wie eine wirkliche Videoüberwachung zu werten ist  (Rdnr. 648), so ist das zutreffend. Aber ist die Attrappe nun zulässig? Bedarf sie einer eigenen Rechtsgrundlage (vgl. § 34 Abs. 6 DSG Rheinland-Pfalz) oder kann sie auf eine analoge Anwendung (Erst-Recht-Schluss) der Rechtsgrundlage für wirkliche Überwachung gestützt werden? Was soll abgewogen werden? Wenn eine Analogie ausscheidet und eine eigene Rechtsgrundlage fehlt: muss der behördliche Datenschutzbeauftragte dann aus datenschutzrechtlichen Gründen empfehlen, die Attrappe durch eine „echte“ Überwachung zu ersetzen?

Praktische Relevanz haben auch die Erläuterungen hinsichtlich kommunaler Befragungen  (Rdnr. 652 ff.) sein. Hier wäre wiederum ein Bezug zum Statistikrecht wünschenswert, insb. zur Abgrenzung von Meinungsumfrage und amtlicher Statistik. In Rdnr. 652 scheint Fußn. 221 andeuten zu wollen, dass alle Befragungen, also auch anonyme und freiwillige Meinungsumfragen, dem Statistikrecht unterfallen. Statistikrecht greift rigoros in das Recht auf informationelle Selbstbestimmung ein und kompensiert dies mit rigorosem Datenschutz (absolute statt nur faktische Anonymisierung erforderlich, Abschottung der Statistikstelle usw.). Dieses Datenschutzregime auf freiwillige und anonyme Umfragen anzuwenden erscheint unverhältnismäßig. Es ist daher zweifelhaft, dass es sich bei solchen Meinungsumfragen überhaupt um amtliche Statistiken handelt.

Mit Kapitel 11 wird der organisatorische Bereich des Datenschutzes eingeläutet. Missverständlich ist der Satz, fachkundig sei ein Kandidat für das Amt des behördlichen Datenschutzbeauftragten, wenn er „dem Organisations- oder Rechtsbereich angehört“. Es kommt stattdessen auf die tatsächlichen Kenntnisse an. Schwerpunkt der Tätigkeit dürfte Rechtsberatung sein, insb. wenn er, wie der Autor zu Recht vorschlägt, nicht zugleich IT-Sicherheitsbeauftragter ist (Rdnr. 676). Technische Kenntnisse muss er nur aufweisen, soweit das für die Einschätzung von Risiken und das Aufzeigen von Alternativen erforderlich ist. Die bei Zilkens nicht erläuterte Zuverlässigkeit dürfte sich auf Verschwiegenheit beziehen und auf ein gewisses Maß an innerer Überzeugung in Sachen Datenschutz. Wer Datenschutz für sinnlosen Sand im Getriebe hält, ist kein zuverlässiger behördlicher Datenschutzbeauftragter. Unklar bleibt, ob der behördliche Datenschutzbeauftragte zugleich einfaches Personalratsmitglied sein darf (dafür Rdnr. 674, dagegen Rdnr. 667, dort Fußn. 12).

Die Ausführungen zur Unabhängigkeit der Datenschutz-Kontrollstellen (Rdnr. 691) sind wissenschaftlich vertretbar, sollten aber auf die auf Grund der Rspr. des EuGH (MMR 2010, 352 m. Anm. Petri/Tinnefeld) gegenteilige Praxis hinweisen.

Kapitel 12 ist das zweite Kapitel, das sich mit organisatorischen Fragen beschäftigt. Es gibt dem Leser einen Mustertext für eine kommunale Geschäftsanweisung Datenschutz an die Hand. Als besondere Handreichung werden Social Media Guidelines erörtert – ein Service, der in Kommunen zunehmend auf Interesse stoßen wird. Tippfaule Leser wie der Rezensent würden sich freilich wünschen, diese Mustertexte (auch den einer Verfahrensmeldung in Kapitel 6) in einem bearbeitbaren Format im Internet oder auf einem Datenträger zu finden.

Kapitel 13 geht auf die Fragen des technischen Datenschutzes, also der IT- bzw. Datensicherheit ein. Es zielt auf Nicht-Techniker ab und kann naturgemäß nur Hintergrundwissen verschaffen und Problembewusstsein schärfen. Das gelingt ihm ausgezeichnet. Zusätzlich werden organisatorische Fragen in Bezug auf Datensicherheit behandelt. Rdnr. 746 bietet gar einen Exkurs in das Allgemeine Verwaltungsrecht, indem sie der Frage nachgeht, inwieweit Verwaltungsakte per Fax erlassen werden dürfen. Sehr hilfreich sind die ab Rdnr. 747 folgenden Hinweise zum richtigen Löschen von Daten. Der Leser erfährt, wie man richtig Papierunterlagen und elektronische Daten vernichtet. Wichtig wäre hier ein Hinweis auf das Archivrecht, wonach Unterlagen dem (Stadt-)Archiv anzubieten sein können (vgl. auch § 133 StGB). Unterlagen dürfen also ggf. gar nicht eigenmächtig gelöscht werden.

Kapitel 14 berücksichtigt die Tatsache, dass in den letzten Jahrzehnten immer mehr kommunale Aufgaben formell privatisiert wurden, also von juristischen Personen privatrechtlicher Rechtsform erfüllt werden, an denen öffentliche Stellen häufig (Mehrheits-)Anteile besitzen. Je nach Mehrheitsverhältnissen und Aufgaben (öffentliche Verwaltung oder Teilnahme am Wettbewerb) kann das BDSG anwendbar sein, vgl. § 2 Abs. 4 LDSG Baden-Württemberg. Das kann materiell-rechtliche Konsequenzen haben, aber auch z.B. die Pflicht auslösen, einen betrieblichen Datenschutzbeauftragten zu bestellen.

Kapitel 15 skizziert das öffentliche Informationszugangsrecht. Es beschreibt die allgemeinen Informationsfreiheitsgesetze, die freilich nicht in allen Ländern vorhanden sind. Berücksichtigt werden auch das UIG und das VIG. Diese Vorschriften haben erhebliche datenschutzrechtliche Relevanz, weil die Frage, ob Informationen übermittelt werden dürfen, im Einzelfall unter Abwägung der widerstreitenden Interessen beantwortet werden muss. Dies unterscheidet das Informationsfreiheitsrecht vom Konzept „Open Data“, das zur Veröffentlichung von Daten führt, sodass für Einzelabwägungen kein Raum mehr bleibt.

Für eine künftige Auflage wäre die Darstellung und Einordnung dieses Bereichs und der  medienrechtlichen Auskunftsansprüche sowie des Archivrechts wünschenswert (vgl. z.B. § 4 Abs. 2 Landespressegesetz Baden-Württemberg, § 9a, ggf. i.V.m. § 55 RStV).

Mit dem „Datenschutz in der Kommunalverwaltung“ ist Zilkens ein Werk gelungen, das in dieser zersplitterten und nicht immer widerspruchsfrei geregelten Materie Orientierung verschafft. Der Anfänger kann sich einen Überblick über seine Aufgaben verschaffen. In vielen Fällen wird er wichtige Antworten finden. Wichtiger ist aber, dass das Buch den Leser in die Lage versetzt, überhaupt die richtigen Fragen zu stellen. Die Antworten herauszuarbeiten muss in komplexeren Angelegenheiten dem Verantwortlichen vorbehalten bleiben. Er findet „im Zilkens“ zu diesem Zweck auch weiterführende Literaturhinweise.

Der Titel des Buchs erweist sich als vornehme Untertreibung, denn dargestellt wird nicht nur das kommunalrelevante, sondern überhaupt das öffentliche Datenschutzrecht. Vieles ist gar auf den nicht-öffentlichen Bereich übertragbar. Es empfiehlt sich daher zumindest auch für jeden, der in sonstiger Öffentlicher Verwaltung Datenschutzrecht zu beachten hat, etwa in der Bundes- und Landesverwaltung oder an öffentlichen Hochschulen.

Dr. Wolfgang Ziebarth ist der behördliche Datenschutzbeauftragte der Stadt Mannheim.